Comment décrypter SSL en utilisant Chrome ou Firefox et Wireshark dans Windows
126169
Created On 10/10/20 05:11 AM - Last Modified 10/16/24 23:55 PM
Objective
Capturez SSL les clés de session à partir de la navigation web cryptée ou d’autres applications Web dans Chrome ou Firefox et utilisez-les pour décrypter les captures de paquets dans Wireshark.
Environment
- Windows 7 ou Windows 10
- Chrome 85 ou plus nouveau, ou Firefox 81 ou plus nouveau
- Wireshark 3.2.7 ou plus nouveau
- SSL/ TLS sessions à RSA l’aide, DHE ou ECDHE algorithmes d’échange de clés.
Procedure
1. Fermez Chrome ou Firefox complètement. Assurez-vous que toutes les instances sont fermées.
2. Ouvrez le menu Démarrer, et tapez env, sélectionnez « Modifier les variables de l’environnement pour votre compte ».
3. Dans la fenêtre « Variables environnement », sous « Variables utilisateur pour %user% », cliquez sur « Nouveau... ».
4. Dans la fenêtre « Nouvelle variable utilisateur » entrez:
SSLKEYLOGFILE
Nom variable: Valeur variable: % USERPROFILE %\Desktop\sslkey.log
5. Cliquez OK pour accepter l’entrée « Nouvelle variable utilisateur » et OK pour accepter et fermer la nouvelle fenêtre « Variable environnement ».
6. Lancez Wireshark et démarrez la capture de paquets.
7. Lancez Chrome ou Firefox, et vérifiez que le fichier sslkey.log est créé.
8. Parcourez le site Web ou l’application Web qui est testé et exécutez toutes les actions qui doivent être capturées.
Dans notre exemple, nous téléchargeons le fichier de test de logiciels malveillants à partir EICAR du site sécurisé.
9. Vérifiez que la capture du paquet pour l’activité a été correctement collectée et arrêtez la capture.
10. Dans Wireshark aller à [ Modifier > préférences > protocoles > TLS ]. Sous (Pré)-Master-Secret nom de fichier journal, sélectionnez le fichier sslkey.log créé à l’étape 7, et cliquez sur OK .
11. La capture de paquets décryptée s’affiche dans Wireshark.
12. (Facultatif) Suivez le HTTP flux pour visualiser le contenu décrypté.
Additional Information
Il n’existe actuellement aucun moyen d’exporter les captures de paquets déchiffrées de Wireshark PCAP en format, cependant, il existe trois options:
- Partagez le PCAP fichier avec son fichier sslkey.log correspondant au destinataire prévu.
- PDU Exportation des données décryptées :
Pour exporter les PDU décryptés, passez à File > Export PDU 's to File > Layer OSI 4, ou OSI Layer 7.
Enregistrez la sortie résultante dans un PCAPNG fichier.
Enregistrez la sortie résultante dans un PCAPNG fichier.
- Suivez le flux HTTP décrypté (étape 12), sélectionnez « Afficher et enregistrer les données comme »: ASCII , puis sélectionnez « Enregistrer comme ... ». Cela permettra d’enregistrer la sortie de flux imprimé dans un fichier texte clair.